威胁取证系统 - TFS

全流量存储,基于互联网的威胁情报分析和追踪体系记录网络行为,提取可疑样本,还原受侵害的文件

产品介绍

PRODUCT PROFILE

近年来,诸如高级持续性威胁(APT)、零日漏洞等新型攻击手段愈演愈烈,由于这类攻击手段隐蔽性很强,大多数企业在受到攻击后难以追查取证并因此蒙受巨大损失。作为卓讯的自主研发产品,TFS(威胁取证系统)进行大规模元数据的提取、索引检索以及对企业网络进行全流量采集及全流量存储。TFS不仅记录企业网络的下行流量,同时也会将企业网络中的上行流量(用户对外发送的邮件等)进行记录,每秒可处理GB级别以上的流量,所有数据将被保存在本地磁盘供后期查证,帮助管理者全面了解员工上网情况和网络使用情况。TFS首先将企业网络的日常流量数据包完全存储下来,当BDS检测到企业网络有异常流量出入时,TFS可以将BDS提供的情报与自身存储的历史流量进行匹配,对用户上网过程中发送和接收的相关内容进行控制、存储、查询和分析。查找异常流量的详细信息并将其呈现给企业的网络安全人员,配合其调查取证,尽最大努力避免不当的上网行为带来的潜在风险和损失,解决后期安全事件取证难等问题。

TFS负责对企业网络流量进行全流量存储和历史流量查询等操作,TFS首先将企业网络的日常大规模流量数据包完全存储下来并建立索引和数据库系统,当企业网络被检测到有异常流量出入时,TFS会根据BDS提供的情报数据对历史流量进行匹配,查出可疑流量的详细信息(ip地址,协议类型等),配合企业的调查取证工作。